Bulletin-ID
Senast uppdaterad den
8 juli 2025
Säkerhetsuppdateringar tillgängliga för Adobe Commerce | APSB25-50
|
|
Publiceringsdatum |
Prioritet |
|---|---|---|
|
APSB25-50 |
10 juni 2025 |
1 |
Sammanfattning
Adobe har släppt säkerhetsuppdateringar för Adobe Commerce och Magento Open Source. Den här uppdateringen åtgärdar kritiska, viktiga och måttliga sårbarheter. Exploatering kan leda till kringgående av säkerhetsfunktioner, behörighetseskalering och godtycklig körning av kod.
Adobe har inga rapporter om att något problem som åtgärdas i dessa uppdateringar ska ha utnyttjats.
Berörda versioner
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Commerce |
2.4.8 2.4.7-p5 och tidigare 2.4.6-p10 och tidigare 2.4.5-p12 och tidigare 2.4.4-p13 och tidigare |
Alla |
| Adobe Commerce B2B |
1.5.2 och tidigare 1.4.2-p5 och tidigare 1.3.5-p10 och tidigare 1.3.4-p12 och tidigare 1.3.3-p13 och tidigare |
Alla |
| Magento Open Source | 2.4.8 2.4.7-p5 och tidigare 2.4.6-p10 och tidigare 2.4.5-p12 och tidigare |
Alla |
Lösning
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
| Produkt | Uppdaterad version | Plattform | Prioritetsklassificering | Installationsanvisningar |
|---|---|---|---|---|
| Adobe Commerce |
2.4.9-alpha1 2.4.8-p1 för 2.4.8 2.4.7-pg för 2.4.7-p5 och tidigare 2.4.6-p11 för 2.4.6-p10 och tidigare 2.4.5-p13 för 2.4.5-p12 och tidigare 2.4.4-p14 för 2.4.4-p13 och tidigare |
Alla |
1 |
|
| Adobe Commerce B2B |
1.5.3-alpha1 1.5.2-p1 för 1.5.2 1.4.2-p6 för 1.4.2-p5 och tidigare 1.3.4-p13 för 1.3.4-p12 och tidigare 1.3.3-p14 för 1.3.3-p13 och tidigare |
Alla | 2 | |
| Magento Open Source |
2.4.9-alpha1 2.4.8-p1 för 2.4.8 2.4.7-pg för 2.4.7-p5 och tidigare 2.4.6-p11 för 2.4.6-p10 och tidigare 2.4.5-p13 för 2.4.5-p12 och tidigare |
Alla |
2 | |
| Adobe Commerce och Magento Open Source | Isolerad korrigering på CVE-2025-47110 | Alla | 1 | Versionsinformation för isolerad korrigering på CVE-2025-47110. |
Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen.
Sårbarhetsinformation
| Sårbarhetskategori | Sårbarhetens inverkan | Allvarlighet | Krävs Authentication för utnyttjande? | Kräver utnyttjande administratörsrättigheter? |
CVSS-baspoäng |
CVSS-vektor |
CVE-nummer | Anteckningar |
|---|---|---|---|---|---|---|---|---|
| Serveröverskridande skriptning (reflekterad XSS) (CWE-79) | Exekvering av godtycklig kod | Kritisk | Ja | Ja | 9.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CVE-2025-47110 | |
| Felaktig auktorisering (CWE-285) | Åsidosättning av säkerhetsfunktion | Kritisk | Ja | Nej | 8.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | CVE-2025-43585 | |
| Felaktig åtkomstkontroll (CWE-284) | Åsidosättning av säkerhetsfunktion | Viktigt | Ja | Ja | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N | CVE-2025-27206 | |
| Felaktig åtkomstkontroll (CWE-284) | Eskalering av behörighet | Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CVE-2025-27207 | Endast B2B |
| Felaktig åtkomstkontroll (CWE-284) | Eskalering av behörighet | Viktig | Ja | Ja | 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N | CVE-2025-43586 | Endast B2B |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Viktigt | Nej | Nej | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2025-49550 | |
| Felaktig auktorisering (CWE-863) | Åsidosättning av säkerhetsfunktion | Måttlig | Ja | Ja | 2.7 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N | CVE-2025-49549 |
Obs!
Autentisering krävs för utnyttjande: Sårbarheten kan (eller kan inte) utnyttjas utan autentiseringsuppgifter.
Utnyttjande kräver administratörsrättigheter: Sårbarheten kan (eller kan inte) endast utnyttjas av en angripare med administratörsrättigheter.
Tack
Adobe tackar följande forskare för att de rapporterat problem och för att de samarbetar med oss i säkerhetsfrågor:
- Damien Retzinger (damienwebdev) - CVE-2025-49549, CVE-2025-49550
- sheikhrishad0 - CVE-2025-27206
- wohlie - CVE-2025-27207
- T.H. Lassche (thlassche) - CVE-2025-43585
- Thomas Klein (tomakl1) - CVE-2025-43586
- blaklis - CVE-2025-47110
Obs! Adobe har ett privat program ihop med HackerOne för att hitta fel. Gäller endast för inbjudna. Om du är intresserad av att samarbeta med Adobe med en extern säkerhetsundersökning ska du fylla i det här formuläret för nästa steg.
Revisioner
25 juni 2025: CVE-2025-49549 och CVE-2025-49550 lades till
Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.
